Responsible disclosure: verantwoorde toevoeging voor je website

Op de eerste editie van het FERM Port Cyber Café kwam ook ‘responsible disclosure’ ter sprake. Een onderwerp waar lang niet iedereen mee bekend bleek. We leggen daarom graag even wat uitgebreider uit wat het is en hoe het je kan helpen in de beveiliging van je (bedrijfs)website en/of ICT-systemen.

‘Responsible disclosure’ staat voor het op verantwoorde wijze melden van ICT-kwetsbaarheden aan een organisatie, vanuit door die organisatie opengestelde kanalen. In de praktijk is dat veelal via een speciaal daarvoor ingerichte pagina binnen de bedrijfswebsite voorzien van een standaardtekst, die onderaan dit artikel integraal als voorbeeld terug te vinden is. Naast de webtekst voorzie je als organisatie ook in kader waarin meldingen op de juiste manier kunnen worden verwerkt, waar we in dit artikel meer uitleg over zullen geven.

MELDPUNT CYBERRISICO’S
Kennis over kwetsbaarheden in de IT-systemen is voor ieder bedrijf van cruciaal belang om de cybersecurity op orde te houden. Informatieveiligheid is nooit honderd procent te garanderen, maar inzicht in de onderdelen die aandacht verdienen kan erg zinvol zijn om de aanpak te verbeteren en risico’s te verminderen. Dat gebeurt enerzijds door websites en systemen te testen op eventuele zwakke plekken, bijvoorbeeld met de Cyber Risico Scan die elders op de FERM-website aangeboden wordt. Anderzijds kunnen kwetsbaarheden aangetroffen worden in het dagelijkse gebruik van de website of de systemen, al dan niet door er bewust naar te zoeken. Het is bij dat laatste waar een responsible disclosure-beleid van pas komt.

WAT VERSTAAN WE ONDER KWETSBAARHEDEN?
Kwetsbaarheden in ICT komen in allerlei varianten voor, zowel in hard- en software. De overeenkomst is het feit dat eventuele uitbuiting ervan kan leiden tot mogelijke veiligheidsrisico’s. De kwetsbaarheid is, met andere woorden, een eigenschap van organisatie of informatiesysteem of een onderdeel daarvan die afbreuk doet aan de weerbaarheid ervan. En weerbaarheid hebben we bij FERM hoog in het vaandel.

In de praktijk worden kwetsbaarheden in systemen opgespoord door ICT’ers, hackers en andere specialisten die in tegenstelling tot cybercriminelen geen kwade bedoelingen hebben, en een mogelijkheid zoeken om binnen de juiste kaders melding te kunnen maken van gaten in het digitale hek. Goedwillende of ‘ethische’ hackers die vanuit hun kennis en expertise dergelijke kwetsbaarheden aantreffen, staan niet altijd te springen om dat kenbaar te maken uit angst voor eventuele juridische consequenties. Organisaties hebben er echter veel belang bij dat zwakke plekken via de juiste kanalen aan het licht komen, zodat gaten gedicht kunnen worden voordat de verkeerde partijen er weet van krijgen.

LEIDRAAD RESPONSIBLE DISCLOSURE
Door goede afspraken te maken en meldingen op de juiste wijze te faciliteren hebben alle partijen meer zekerheid over hun positie en kan een bijdrage worden geleverd aan het gezamenlijke doel: het verhogen van de veiligheid van informatiesystemen. Om die reden heeft het Nationaal Cyber Security Centrum (NCSC) enkele jaren geleden een uitgebreide leidraad opgesteld om je te helpen een responsible disclosure-pagina op je website in te richten. Die leidraad is te downloaden via deze link (PDF).

Implementatie van het beleid is relatief eenvoudig. In de basis bestaat het uit het inrichten van een pagina binnen de bedrijfswebsite, waar een standaardtekst (te vinden onderaan dit artikel) of een duidelijke variant daarop gepresenteerd kan worden. Daarnaast moet je als organisatie voor een aantal voorwaarden zorgen:

1. Een dedicated e-mailadres voor meldingen;
2. Een stappenplan voor het behandelen van meldingen, met aandacht voor zaken als het verzenden van een ontvangstbevestiging, controle van de gegevens en een check van de melding volgens de opgestelde richtlijnen;
3. Een actieplan voor de consequenties van de melding en een aanpak van het probleem;
4. Een communicatieplan van de vorderingen, ook richting melder en waar nodig naar het NSCS en/of de Autoriteit Persoonsgegevens conform de voorwaarden die in de standaardtekst worden opgenomen.

<<< BEKIJK TER ILLUSTRATIE OOK HOE FERM HET RESPONSIBLE DISCLOSURE-BELEID OP DE WEBSITE HEEFT GEPLAATST >>>

STANDAARDTEKST RESPONSIBLE DISCLOSURE
Onderstaande tekst is integraal te gebruiken op de pagina die binnen een website ingericht wordt voor het responsible disclosure-beleid. Tekst en toelichting is ook te vinden in de ‘Handreiking implementatie Responsible Disclosure’ van het CIP (PDF).

Uiteraard dienen zaken zoals ‘’ en andere voorbeelden tussen haken nog specifiek ingevuld te worden bij het doorplaatsen van de tekst.

—–  voorbeeldtekst responsible disclosure  —–

Bij hechten wij grote waarde aan de veiligheid van onze systemen. Ondanks onze zorg voor de beveiliging kan het voorkomen dat er toch een zwakke plek is. Als u een zwakke plek in één van onze systemen heeft gevonden horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met u samenwerken om onze systemen beter te kunnen beschermen.

WIJ VRAGEN U:

• Uw bevindingen te mailen naar . [Optioneel:] Versleutel de bevindingen indien mogelijk met de aan u daartoe verstrekte sleutel om te voorkomen dat de informatie in verkeerde handen valt;

• Voldoende informatie te geven om het probleem te reproduceren zodat we het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn;

• Contactgegevens achter te laten zodat we met u in contact kunnen treden om samen te werken aan een veilig resultaat. Laat minimaal een e-mailadres of telefoonnummer achter;

• De melding zo snel mogelijk na ontdekking van de kwetsbaarheid te doen;

• De informatie over het beveiligingsprobleem niet met anderen te delen totdat het is opgelost;

• Verantwoordelijk om te gaan met de kennis over het beveiligingsprobleem, door geen handelingen te verrichten die verder gaan dan noodzakelijk voor het aantonen van het beveiligingsprobleem.

VERMIJD DUS IN ELK GEVAL DE VOLGENDE HANDELINGEN:

• Het plaatsen van malware;

• Het kopiëren, wijzigen of verwijderen van gegevens in een systeem (een alternatief hiervoor is het maken van een directory listing van een systeem);

• Het aanbrengen van veranderingen in het systeem;

• Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen;

• Het gebruik maken van het zogeheten “brute forcing” van toegang tot systemen;

• Het gebruik maken denial-of-service of social engineering.

WAT U MAG VERWACHTEN:

• Indien u bij de melding van een door u geconstateerde kwetsbaarheid in een ICT-systeem van aan alle bovenstaande voorwaarden voldoet, zullen we geen juridische consequenties verbinden aan deze melding;

• Wij behandelen een melding vertrouwelijk en delen persoonlijke gegevens niet zonder toestemming van de melder met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is;

• In onderling overleg kunnen we, indien u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid;

• Wij sturen u binnen werkdagen een ontvangstbevestiging;

• Wij reageren binnen werkdagen op een melding met de beoordeling van de melding en een verwachte datum voor een oplossing;

• Wij houden u op de hoogte van de voortgang van het oplossen van het probleem;

• In onderling overleg kan worden bepaald of en op welke wijze over het probleem, nadat het is opgelost, wordt gepubliceerd.